블로그

AWS 공인 보안 전문 자격증: 알아야 할 모든 것

AWS Certified Security Specialty

June 20, 2021

4 분 읽기

Amit K

AWS Certified Security – Specialty -Everything You Need to Know.png

AWS Certified Security - Specialty(SCS-C01) 자격증은 AWS 보안 서비스, 특히 보안 메커니즘 및 기술에 대한 이해도를 높이고자 하는 IT 전문가에게 적합합니다. AWS Certified Security - Specialty 자격증을 통해 IT 전문가는 데이터 보안 및 암호화, 사고 대응, 신원 확인, 인프라 보안, 접근 관리, 모니터링, 로깅 등과 같은 보안 주제에 대한 AWS 지식과 기술을 입증하고 검증할 수 있습니다.

이 가이드에서는 AWS Certified Security - Specialty 자격증 시험에 대한 모든 정보를 제공합니다. AWS 보안 자격증이 자신에게 적합한 선택인지 알아보려면 계속 읽어보세요.

AWS Certified Security - Specialty 자격증 시험이란 무엇인가요?

AWS Certified Security - Specialty 자격증은 보안 관련 업무를 수행하는 IT 전문가를 위해 설계되었습니다. 이 자격증 취득을 위해서는 AWS 워크로드 보안 관련 실무 경험이 최소 2년 이상 필요합니다.

AWS는 IT 전문가가 시험에 응시하기 전에 다음과 같은 기술을 갖추도록 권장합니다.

AWS 공동 책임 모델 및 적용 사례
AWS 워크로드 보안 제어
로깅 및 모니터링 전략
클라우드 보안 위협 모델
패치 관리 및 보안 자동화
타사 도구 및 서비스를 활용한 AWS 보안 서비스 강화 방법
BCP 및 백업을 포함한 재해 복구 제어
암호화
접근 제어
데이터 보존

AWS Certified Security – Specialty: 시험 세부 정보

인증 레벨: Specialty
시험 시간: 170분
시험 비용: $300
시험 형식: 객관식 또는 복수 선택형 65문항
시험 언어: 영어, 프랑스어(프랑스), 독일어, 이탈리아어, 일본어, 한국어, 포르투갈어(브라질), 중국어 간체, 스페인어(라틴 아메리카)

AWS Certified Security – Specialty: 시험 목표

아래 표는 AWS Certified Security – Specialty 시험의 시험 영역 및 목표와 각 영역의 시험 비중을 나타냅니다. 시험 목표를 간략히 살펴보세요.

영역 1: 침해 사고 대응 - 12%
영역 2: 로깅 및 모니터링 - 20%
영역 3: 인프라 보안 - 26%
영역 4: ID 및 액세스 관리 - 20%
영역 5: 데이터 보호 - 22%

영역 1: 침해 사고 대응

1.1 AWS 악용 알림을 받으면, 침해 의심 인스턴스 또는 노출된 액세스 키를 평가합니다.

EC2 인스턴스에 대한 AWS 악용 보고서를 받으면, 포렌식 조사의 일환으로 해당 인스턴스를 안전하게 격리합니다.
보고된 인스턴스와 관련된 로그를 분석하여 침해 여부를 확인하고 관련 데이터를 수집합니다.
추후 심층 분석 또는 법적 규정 준수를 위해 의심되는 인스턴스에서 메모리 덤프를 캡처합니다.

1.2 침해 사고 대응 계획에 관련 AWS 서비스가 포함되어 있는지 확인합니다.

기본 보안 구성에 변경 사항이 있는지 확인합니다.
목록에 사고 대응을 용이하게 하는 서비스, 프로세스 또는 절차가 누락되었는지 확인합니다.
누락된 부분을 보완하기 위한 서비스, 프로세스 및 절차를 권장합니다.

1.3 자동화된 알림 구성을 평가하고 보안 관련 사고 및 발생 가능한 문제에 대한 해결 조치를 실행합니다.

신규/변경/삭제된 리소스에 대한 규칙 준수 여부 평가를 자동화합니다.
일반적인 인프라 구성 오류에 대한 규칙 기반 알림을 적용합니다.
이전 보안 사고를 검토하고 기존 시스템 개선 사항을 권장합니다.

## 도메인 2: 로깅 및 모니터링

2.1. 보안 모니터링 및 알림 설계 및 구현

아키텍처를 분석하고 모니터링 요구 사항 및 모니터링 통계 소스를 파악합니다.
아키텍처를 분석하여 모니터링 및 알림 자동화에 사용할 수 있는 AWS 서비스를 결정합니다.
사용자 지정 애플리케이션 모니터링 요구 사항을 분석하고 구현 방법을 결정합니다.
정기적인 감사를 수행하는 자동화 도구/스크립트를 설정합니다.

2.2. 보안 모니터링 및 경고 문제를 해결합니다.

알려진 이벤트가 발생했지만 예상과 다른 경고가 발생한 경우, 서비스 기능 및 구성을 분석하고 문제를 해결합니다.
알려진 이벤트가 발생했지만 예상과 다른 경고가 발생한 경우, 권한을 분석하고 문제를 해결합니다.
사용자 지정 애플리케이션이 통계를 보고하지 않는 경우, 구성을 분석하고 문제를 해결합니다.
시스템 및 사용자 활동의 감사 추적을 검토합니다.

2.3. 로깅 솔루션을 설계하고 구현합니다.

아키텍처를 분석하고 로깅 요구 사항 및 로그 수집 소스를 파악합니다.
요구 사항을 분석하고 AWS 모범 사례에 따라 내구성이 뛰어나고 안전한 로그 저장소를 구현합니다.
아키텍처를 분석하여 로그 수집 및 분석 자동화에 사용할 수 있는 AWS 서비스를 결정합니다.

2.4. 로깅 솔루션 문제를 해결합니다.

로그가 없는 경우, 잘못된 구성을 파악하고 해결 단계를 정의합니다.
로깅 접근 권한을 분석하여 잘못된 구성을 파악하고 수정 조치를 정의합니다.
보안 정책 요구 사항에 따라 올바른 로그 레벨, 유형 및 소스를 결정합니다.

도메인 3: 인프라 보안

3.1 AWS에서 엣지 보안을 설계합니다.

특정 워크로드에 대해 공격 표면을 평가하고 제한합니다.
공격 범위 축소(예: 애플리케이션을 여러 계정 및 리전에 분산)
DDoS 공격 방지 또는 애플리케이션 수준 공격 필터링을 위해 WAF, CloudFront, Route 53과 같은 적절한 AWS 및/또는 타사 엣지 서비스를 선택합니다.
애플리케이션에 대한 엣지 보호 요구 사항을 고려하여 이벤트 처리 및 침입 탐지 메커니즘을 평가하고 규정 준수를 위한 필요한 변경 사항을 권장합니다.
WAF 규칙을 테스트하여 악성 트래픽을 차단하는지 확인합니다.

3.2 안전한 네트워크 인프라를 설계하고 구현합니다.

불필요한 네트워크 포트 및 프로토콜을 비활성화합니다.
주어진 에지 보호 요구 사항을 바탕으로 애플리케이션의 보안 그룹 및 NACL이 규정을 준수하는지 평가하고 필요한 변경 사항을 권장합니다.
주어진 보안 요구 사항에 따라 필요한 최소한의 인바운드/아웃바운드 액세스를 허용하도록 네트워크 세분화(예: 보안 그룹 및 NACL)를 결정합니다.
VPN 또는 Direct Connect의 사용 사례를 결정합니다.
VPC 흐름 로그 활성화의 사용 사례를 결정합니다.
VPC의 네트워크 인프라에 대한 설명을 바탕으로 안전한 운영을 위한 서브넷 및 게이트웨이 사용 방식을 분석합니다.

3.3 안전한 네트워크 인프라 문제 해결

네트워크 트래픽 흐름이 차단되는 위치를 파악합니다.
주어진 구성을 바탕으로 보안 그룹 및 NACL이 올바르게 구현되었는지 확인합니다.

3.4 호스트 기반 보안 설계 및 구현

보안 요구 사항을 고려하여 Inspector 및 SSM(https://cbtproxy.com/blog/all-about-the-safe-scrum-master-ssm-certification/)을 포함한 호스트 기반 보호 기능을 설치하고 구성합니다.
iptables와 같은 호스트 기반 방화벽을 언제 사용할지 결정합니다.
호스트 강화 및 모니터링 방법을 권장합니다.

도메인 4: ID 및 액세스 관리

4.1 AWS 리소스에 액세스하기 위한 확장 가능한 권한 부여 및 인증 시스템을 설계하고 구현합니다.

워크로드에 대한 설명을 바탕으로 AWS 서비스에 대한 액세스 제어 구성을 분석하고 위험을 줄이는 권장 사항을 제시합니다.
조직의 AWS 계정 관리 방식에 대한 설명을 바탕으로 루트 사용자의 보안을 확인합니다.
조직의 규정 준수 요구 사항을 고려하여 사용자 정책 및 리소스 정책을 언제 적용할지 결정합니다.
조직 정책 내에서 디렉터리 서비스를 IAM에 페더레이션할 시기를 결정합니다.
사용자, 그룹, 역할 및 정책을 포함하는 확장 가능한 권한 부여 모델을 설계합니다.
데이터 및 AWS 리소스에 대한 개별 사용자를 식별하고 접근을 제한합니다.
사용자/시스템이 자신의 책임 범위를 넘어서는 기능을 수행하지 못하도록 제한하고, 직무 분리를 적절히 시행할 수 있도록 정책을 검토합니다.

4.2 AWS 리소스 접근을 위한 권한 부여 및 인증 시스템 문제를 해결합니다.

사용자가 S3 버킷 콘텐츠에 접근할 수 없는 문제를 조사합니다.
사용자가 다른 계정으로 역할을 전환할 수 없는 문제를 조사합니다.
Amazon EC2 인스턴스가 특정 AWS 리소스에 접근할 수 없는 문제를 조사합니다.

도메인 5: 데이터 보호

5.1 키 관리 및 사용을 설계하고 구현합니다.

주어진 시나리오를 분석하여 적절한 키 관리 솔루션을 결정합니다.
데이터 보호 요구 사항을 고려하여 키 사용을 평가하고 필요한 조치를 권장합니다.
키 유출 사고 발생 시 파급 효과를 파악하고 제어하며, 이를 최소화할 수 있는 솔루션을 설계합니다.

5.2 키 관리 문제 해결

KMS 키 부여와 IAM 정책의 차이점을 분석합니다.
특정 키에 대해 서로 다른 정책이 충돌할 경우 우선순위를 결정합니다.
보안 침해 발생 시 사용자 또는 서비스에 대한 권한을 취소하는 시점과 방법을 결정합니다.

5.3 저장 데이터 및 전송 데이터를 위한 데이터 암호화 솔루션을 설계하고 구현합니다.

주어진 데이터 보호 요구 사항을 바탕으로 워크로드에서 저장 데이터의 보안을 평가하고 필요한 변경 사항을 권장합니다.
특정 AWS 서비스에서만 사용할 수 있도록 키에 대한 정책을 검증합니다.
태그 기반 데이터 분류를 통해 데이터의 규정 준수 상태를 구분하고 자동화된 복구 기능을 구현합니다.
다양한 전송 암호화 기술(예: TLS, IPsec, 클라이언트 측 KMS 암호화)을 평가하고 적절한 방법을 선택합니다.

AWS Certified Security - Specialty 시험 비용은 얼마인가요?

AWS Certified Security - Specialty 자격증 시험 응시료는 300달러입니다. 시험 시간은 170분이며, 객관식 및 복수 응답형 문항 65개가 출제됩니다. 합격 기준은 100점 만점에 75%~80%입니다.

AWS Certified Security - Specialty 자격증 취득에 필요한 경력은 무엇인가요?

AWS Certified Security - Specialty 자격증 시험에 응시하려면 AWS Cloud Practitioner 또는 Associate 자격증을 소지해야 합니다. 또한, 보안 솔루션 설계 및 구현 분야에서 최소 5년 이상의 IT 보안 경력이 필요하며, AWS 시스템 및 워크로드 보안 관련 실무 경험도 2년 이상 있어야 합니다.

AWS Certified Security - Specialty 자격증 시험은 누가 응시해야 하나요?

AWS Certified Security - Specialty 자격증 시험은 보안 관련 직무를 수행하고 클라우드 환경에 대한 기본적인 지식과 기술을 갖춘 전문가를 위해 설계되었습니다. 이 시험은 AWS 클라우드 서비스와 관련된 다양한 영역을 다룹니다.

AWS 보안 - 스페셜티 자격증 취득의 이점은 무엇인가요?

AWS 공인 보안 - 스페셜티 자격증 시험 응시의 이점은 다음과 같습니다.

클라우드 보안은 모든 사용 사례에 필수적입니다.
AWS 자격증은 AWS 파트너 및 실무자에게 신뢰할 수 있는 기준을 제공합니다.
팀 구성원이 보안 모범 사례를 준수하도록 보장합니다.
팀 구성원의 전문성 향상을 지원합니다.
AWS 파트너 자격증 요건 충족에 도움이 됩니다.

AWS 공인 보안 - 스페셜티는 가치가 있을까요?

AWS 공인 보안 - 스페셜티 자격증 시험에 투자하는 시간, 비용, 노력은 충분히 가치가 있습니다. 이 자격증 시험은 쉽지 않지만, 전반적인 기술 역량에 대한 신뢰도와 자신감을 높여줍니다.

보안 솔루션 설계 및 구현에 중점을 둔 AWS 실무자라면 이 자격증을 취득해야 합니다. 이 시험을 통해 여러분은 완전히 새로운 차원의 솔루션 설계 및 구현을 위한 심층적인 보안 전략을 배우게 되며, 수요가 높은 AWS 보안 전문가로 거듭날 수 있습니다.